Wie man ein Ubuntu-System zum FreeIPA-Server hinzufügt

Nachdem du das FreeIPA-Identitätsmanagementsystem installiert hast, musst du die Client-Rechner auf dem FreeIPA-Server registrieren und hinzufügen. Dadurch wird sichergestellt, dass sich FreeIPA-Benutzer an jedem Client-Rechner anmelden können, der auf dem FreeIPA-Server registriert ist.

In diesem Lernprogramm zeigen wir dir, wie du einen Ubuntu-Client-Rechner zum FreeIPA-Server hinzufügst. Am Ende können sich die FreeIPA-Benutzer mit der vom FreeIPA-Server bereitgestellten Authentifizierung auf den Ubuntu-Client-Rechnern anmelden.

Voraussetzungen

  • Ein FreeIPA-Server ist vollständig konfiguriert.
  • Ein Ubuntu Linux Rechner – Server oder Desktop.
  • Ein Nicht-Root-Benutzer mit sudo-Administrator-Rechten.

Benutzer auf dem FreeIPA-Server hinzufügen

Bevor du mit der Konfiguration des Ubuntu-Client-Rechners beginnst, verbinde dich mit dem FreeIPA-Server mit dem unten stehenden ssh-Befehl.

ssh user@SERVER-IP-FreeIPA

Führe nun den folgenden Befehl aus, um dich gegenüber dem Kerberos-Server zu authentifizieren.

kinit admin

Daraufhin wirst du nach einem Passwort für den Kerberos-Admin gefragt. Gib das richtige Passwort ein.

Als Nächstes überprüfst du die Authentifizierung, indem du das verfügbare Kerberos-Ticket mit dem unten stehenden Befehl überprüfst.

klist

Wenn du dich am Kerberos-Server authentifiziert hast, siehst du den folgenden Screenshot.

gegen admin authentifizieren

Jetzt richtest du den FreeIPA-Server mit der ipa-Befehlszeile ein.

Ändere die Standard-Shell für FreeIPA-Benutzer mit dem unten stehenden Befehl in /bin/bash.

ipa config-mod --defaultshell=/bin/bash

Alle Standardkonfigurationen für FreeIPA-Benutzer findest du weiter unten. Wie du siehst, wird die Standard-Shell in /bin/bash geändert.

Standard-Shell einrichten freeipa Benutzer

Führe nun den folgenden Befehl aus, um einen neuen FreeIPA-Benutzer namens laura zu erstellen.

ipa user-add laura --first=Laura --last=Admin --password

Du wirst aufgefordert, ein sicheres Passwort für den Benutzer laura einzugeben, dann wird der neue Benutzer erstellt.

Benutzer freeipa hinzufügen

DNS-Eintrag für den Ubuntu-Client auf dem FreeIPA-Server hinzufügen

Nachdem du einen neuen Benutzer eingerichtet hast, musst du nun die DNS-Konfiguration für den Ubuntu-Client hinzufügen. In diesem Beispiel läuft der Ubuntu-Client-Rechner mit der IP-Adresse 192.168.10.50 und dem Hostnamen ubuntu-node.

Füge nun die DNS-Konfiguration für den ubuntu-node mit dem unten stehenden Befehl hinzu. Du musst auch den Domainnamen hwdomain.io ändern, indem du die DNS-Zone des FreeIPA-Servers und alle Details des Client-Rechners verwendest.

ipa dnsrecord-add hwdomain.io ubuntu-node.hwdomain.io --a-rec 192.168.10.50

Überprüfe die DNS-Konfiguration mit dem unten stehenden Befehl.

ipa dnsrecord-find hwdomain.io ubuntu-node.hwdomain.io

Unten siehst du, dass der FQDN ubuntu-node.hwdomain.io in die Client-IP-Adresse 192.168.10.50 aufgelöst wird.

Wenn du außerdem den Ping-Befehl vom FreeIPA-Server zum FQDN ubuntu-node.hwdomain.io ausführst, wird die Domain automatisch zur richtigen IP-Adresse auf dem FreeIPA-Server aufgelöst.

ping ubuntu-node.hwdomain.io -c5

Du hast nun den FreeIPA-Benutzer angelegt und den DNS-Eintrag für den Client-Rechner konfiguriert.

FQDN und /etc/hosts einstellen

Wechsle nun zum Ubuntu-Client-Rechner und beginne mit der Konfiguration des FQDN und der Datei /etc/hosts auf dem Client-Rechner.

Führe den folgenden Befehl aus, um den FQDN auf ubuntu-node-.hwdomain.io einzurichten.

sudo hostnamectl set-hostname ubuntu-node.hwdomain.io

Bearbeite nun die Konfigurationsdatei /etc/hosts mit dem Editor nano.

sudo nano /etc/hosts

Ändere die detaillierten IP-Adressen und Domänennamen und füge die Konfiguration dann in die Datei ein.

192.168.10.25 ipa.hwdomain.io
192.168.10.50 ubuntu-node.hwdomain.io

Speichere und schließe die Datei, wenn du fertig bist.

Als Nächstes führst du den Befehl dig aus, um die Konfiguration des FQDN und der Datei /etc/hosts zu überprüfen.

dig +short ubuntu-node.hwdomain.io A
dig +short -X 192.168.10.50

Im folgenden Screenshot siehst du, dass der FQDN ubuntu-node.hwdomain.io in die IP-Adresse 192.169.10.50 aufgelöst wird und umgekehrt.

fqdn und /etc/hosts-Datei einrichten

Hinzufügen des Ubuntu-Clients zu FreeIPA

Nachdem du den FQDN und die Datei /etc/hosts konfiguriert hast, installierst du nun das FreeIPA-Client-Paket und fügst deinen Ubuntu-Client zum FreIPA-Server hinzu.

Bevor du mit der Installation der Pakete beginnst, aktualisiere dein Ubuntu-Repository mit dem unten stehenden Befehl.

sudo apt update

Installiere nun das FreeIPA-Client-Paket mit dem unten stehenden Befehl.

sudo apt install freeipa-client oddjob-mkhomedir

Gib Y ein, um die Installation zu bestätigen und drücke ENTER, um fortzufahren.

freeipa client installieren

Während der Installation wirst du aufgefordert, den Standard-REALM einzurichten. Belasse es bei der Standardeinstellung, denn sie wird automatisch anhand deines FQDN erkannt.

Realm-Domäne bestätigen

Lass nun alle weiteren Fragen zur Kerberos-Konfiguration leer und wähle Kerberos-Authentifizierung auslassen.

Überspringen der Kerberos-Konfiguration

Das FreeIPA-Client-Paket ist nun auf deinem Ubuntu-Client-Rechner installiert.

Führe als Nächstes den Befehl ipa-client-install aus, um den Ubuntu-Client-Rechner zum FreeIPA-Server hinzuzufügen. Achte darauf, dass du die FreeIPA-Serveradresse, den Domainnamen und REALM änderst.

ipa-client-install --hostname=`hostname -f` \
--mkhomedir \
--server=ipa.hwdomain.io \
--domain hwdomain.io \
--realm HWDOMAIN.IO

Während der Installation wirst du nach den folgenden Konfigurationen gefragt:

  • Gib bei der Frage nach der Autodiscovery-Konfiguration ja ein.
  • Belasse die NTP-Konfiguration auf der Standardeinstellung no.
  • Überprüfe deine detaillierte FreeIPA-Serverkonfiguration und bestätige die Installation mit Ja.
  • Gib nun den Benutzer admin für die Kerberos-Authentifizierung ein.
  • Gib das Passwort für den Kerberos-Benutzer admin ein.

freeipa Client hinzufügen

Wenn die Konfiguration abgeschlossen ist, siehst du eine Meldung wie„Client-Konfiguration abgeschlossen.“.

Installation abgeschlossen

Als Nächstes führst du den folgenden Befehl aus, um die Konfiguration des PAM-Authentifizierungsmoduls zu ändern.

sudo pam-auth-update

Wähle das PAM-Profil„Create a home directory on login„, um es zu aktivieren, und bestätige es mit OK.

Pam-Modul einrichten

Jetzt sind alle Konfigurationen des FreeIPA-Client-Rechners abgeschlossen.

Anmeldung am Ubuntu-Client mit FreeIPA-Benutzer

Um die Konfiguration deines Ubuntu-Client-Rechners zu überprüfen, gehe zurück zum FreeIPA-Server und verbinde dich mit dem FreeIPA-Benutzer laura mit dem ubuntu-node.hwdomain.io. Vergewissere dich außerdem, dass die Passwortauthentifizierung auf deinem Ubuntu-Client-Rechner aktiviert ist.

Verbinde dich mit dem Ubuntu-Client-Rechner unter Verwendung des FreeIPA-Benutzers (siehe unten).

ssh laura@ubuntu-node.hwdomain.io

Gib das Passwort für den FreeIPA-Benutzer ein. Wenn das Passwort korrekt ist, wirst du aufgefordert, das Passwort erneut einzugeben und das Standardpasswort in das neue Passwort zu ändern. Achte also darauf, dass du ein sicheres Passwort für deinen Benutzer verwendest.

Wenn du verbunden bist, siehst du eine Ausgabe wie im folgenden Screenshot. Der FreeIPA-Benutzer laura ist über die SSH-Authentifizierung auf dem ubuntu-node-Rechner eingeloggt.

Anmeldung am Ubuntu-Client mit freeipa-Benutzer

Fazit

Herzlichen Glückwunsch! Du hast nun gelernt, wie du den Ubuntu-Client-Rechner zum FreeIPA-Server hinzufügst. Außerdem hast du den grundlegenden ipa-Befehl zur Verwaltung der FreeIPA-Benutzer und der DNS-Konfiguration sowie die Grundkonfiguration des PAM-Moduls gelernt.

Das könnte dich auch interessieren …